di Nicolò Superbi
team Compliance SCnet s.r.l.
Cyber security, approccio sistemico e sostegno alle PMI, questo il titolo d’un recente articolo pubblicato su Il Sole 24 ore.
La cyber security, come noto, altro non rappresenta se non l’insieme di mezzi, di tecnologie e di procedure tesi alla protezione dei sistemi informatici in termini di disponibilità, confidenzialità e integrità dei beni o asset informatici.
Dalla definizione si può comprendere come la cyber security sia un ramo della sicurezza aziendale di fondamentale importanza vista la digitalizzazione che sempre più si propaga nel mondo imprenditoriale, andando a coinvolgere anche le piccole/medie imprese.
A proposito di queste ultime, il citato articolo a firma Enrico Ferretti dà atto d’una situazione che, sul fronte della sicurezza informatica, rappresenta una situazione di difficoltà per la mancanza di competenze ed esperienze specifiche nella selezione e la messa a terra di soluzioni efficaci e proporzionate.
Nel citato articolo, più specificamente, si legge che «circa la metà dei furti di dati ha coinvolto una pmi e quasi una pmi su quattro fallisce dopo una violazione importante dei propri dati e sistemi informativi».
Quali possono essere gli interventi opportuni in una piccola/media impresa per evitare violazioni della sicurezza informatica e furti di dati?
Investire sulla sicurezza della propria azienda è ancora vissuto come un costo e un adempimento e non come opportunità di crescita e di maggiore competitività sul mercato. Ciò si riflette sulle scelte imprenditoriali ancora basate su gestioni aziendali tradizionali incapaci di impedire ed eventualmente affrontare attacchi informatici strutturati e pervasivi.
Gestioni aziendali dotate di procedure operative obsolete e poco sicure sicuramente agevolano l’ingresso di soggetti indesiderati nella propria impresa.
L’adozione di software all’avanguardia in grado di proteggere i dati aziendali e meccanismi d’autenticazione più robusti rappresentano il punto di partenza per evitare la commissione di reati informatici da parte del management aziendale o soggetti subordinati della propria impresa.
Tuttavia ciò non è sufficiente per escludere la responsabilità para-penale della propria azienda dipendente dalla commissione di reati da parte di soggetti che operano in nome e per conto della stessa.
Tanto è vero che il legislatore del 2001 ha previsto uno strumento ad hoc per soddisfare questa esigenza degli imprenditori e quindi per limitare la responsabilità amministrativa degli enti e le relative sanzioni che potrebbero mettere in pericolo la loro sopravvivenza.
Si sta facendo riferimento al modello organizzativo e gestionale disciplinato dal d.lgs. 8-6-2001, n. 231.
A venire qui in emergenza, più specificamente, è una guida-operativa che formalizza per iscritto l’organizzazione aziendale suddividendola per aree d’attività a rischio reato.
Tra i reati-presupposto previsti da tale normativa uno spazio aperto, perché in continua espansione, è dedicato ai reati informatici.
Tutto ciò per dire che l’unico modo che l’azienda ha per tutelarsi difronte al giudice penale in caso di reati, anche informatici, commessi da soggetti subordinati o apicali nell’interesse o a vantaggio della stessa è l’adozione e la corretta attuazione di un MOG 231.
Tra i diversi benefici propri di questo strumento di compliance vi sono certamente l’aumento della competitività dovuto alla maggiore sicurezza di tutti i rapporti economici in essere e il miglioramento dell’immagine rispetto alla concorrenza.
Investire su un modello organizzativo e gestionale strutturato e pensato come un vestito per la propria azienda grande, media o piccola significa porre le fondamenta di una casa in grado di difendersi dalle conseguenze peggiori di un terremoto.